QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739

申博_安全预警 申博 271次浏览 已收录 0个评论

论信息泄露在实际业务应用中的危害

上个月做了一次项目,是某系统的测试,简单做一次测试总结 首先拿到项目给的测试范围,几个域名打开发现都是需要登入的系统,首页只有一个登入框。 第一眼。没啥思路,有验证码burp爆破路子是行不通了。测试也不让用扫描器,于是上搜索引

我们近来发明了一个风趣的破绽,该破绽影响了大批的Qt5产物。 由于很多开辟人员依靠Qt框架举行C ++和Python开辟,因而此bug可以或许形成异常严峻的影响。

运用Qt5框架构建的GUI运用顺序均包罗有一组受支撑的敕令行选项,而这些选项可以或许通报局部可实行二进制文件。

都将具有一组受支撑的敕令行选项,这些选项可以或许通报给可实行二进制文件。 比方运转下面的敕令:

QtGUIapp.exe -qwindowtitle foobar

以后我们将发明foobar替换了原始窗口题目标内容。 敕令行选项platformpluginpath更加显着。 此参数包罗了指向Qt5插件的目次途径和UNC同享目次。 换句话说,目标地位包罗Windows上的动态链接库(DLL)文件。 Qt5运用顺序将在内存中加载后自动实行这些插件。

读者可以或许会问,这个“功用”怎样被运用? 什么样的进击序言实用? 确切,在很多状况下确切没有适宜的payload来举行进击,然则在设置装备摆设自定义URI计划时会这类破绽就容易发生。 让我们来谈谈下面几个案例,CVE-2019-1636``和CVE-2019-6739

Cisco Webex Teams(CVE-2019-1636)

装置Cisco SparkWebex Teams后,“ciscospark”协定的URI处置惩罚顺序在注册表中按以下内存设置装备摆设:

QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739

密钥可以或许确保运用ciscospark协定标识符的URI终究都邑挪用CiscoCollabHost.exe如前文所述,Cisco Spark运用顺序基于Qt5并支撑多个敕令行参数,包孕platformpluginpath。 Spark许可用户读取和写入多种图象格式,比方.gif,.jpg和.bmp文件。 此功用须要几个插件来剖析图象格式,包孕qgif.dll,qicns.dll,qico.dll,qjpeg.dll,qsvg.dll,qtga.dll,qtiff.dll,qwbmp.dll和qwebp.dll。 这些插件默许从“\imageformats”目次加载。 然则,将“platformpluginpath”通报给可实行文件(CiscoCollabHost.exe)将许可运用顺序加载外部插件。

比方以下敕令:

CiscoCollabHost.exe -platformpluginpath C:/Users/research/Desktop/poc

以后我们发明其将加载并实行C:/Users/research/Desktop/poc/imageformats目次中的一切DLL文件。 这是处置惩罚DLL加载的代码。

QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739

QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739
/imageformats dir读取的代码并剖析图象。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

相识这一点,进击就异常直接了。 比方,POC可以或许以下举行编写。

QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739

长途同享包罗“imageformats”目次,个中包罗“malicious.dll”文件。 在这类状况下,DLL称号其实不主要,由于QT5依据其元数据而不是其称号加载插件。

建立歹意DLL对Qt5开辟人员影响不大,但它最后对我们的剖析不太友爱。 没有经由Qt5的预编程,编译将在Qt5加载过程当中延续一些时候。我们花了一段时候试图弄清楚文件为什么没有加载和它的“DllMain”没有被实行的缘由后,我们更深切地相识了Qt内核机制,发明缺乏的局部是一个名为.qtmetad的PE局部。 事实证明,DLL插件中须要存在元数据局部能力由Qt5辨认。 该局部包罗有关插件及其处置惩罚的数据(如mime范例)的详细信息。 从另一个有用的插件如“qgif.dll”复制局部内容应当可以或许处理题目。

QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739

Visual Studio中,我们可以或许运用#pragma const_seg(“.qtmetad”)建立一个节点。 除DllMain进口点以外,还会在加载DLL时须要实行qt_plugin_instance函数。 思科用SA20190123修补了这个题目。

Malwarebytes Anti-Malware(CVE-2019-6739)

一样的观点实用于Malwarebytes Anti-Malware。 其运用的协定标识符是“malwarebytes”,其注册表项以下:

QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739

这里有所区别的处所是默许加载的插件范例。 与Webex分歧,Anti-Malware不会读取和写入图象文件,因而不会加载前面提到的DLL。 而是运用Windows集成插件qwindows.dll。 默许状况下,此DLL位于“\platforms\”。

POC以下:

QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739

它与我们自行编译的DLL雷同。 只需从“qwindows.dll”中复制“.qtmetad”局部就可以或许了。 经由过程在加载时将此敕令行选项供应给Malwarebytes,进击者可以或许经由过程加载DLL而不是顺序默许值来接受体系。 Malwarebytes运用3.6.1.2711-1.0.508以后的版本处理了此破绽。

总结

该手艺可运用于大多数基于Qt5举行编程的运用顺序。 然则,在大多数状况下,除非上面的CVE中有明白的进击payload,不然它将很难举行运用。 这完整取决于供应商运用的目标和它们供应的范例。 在这些状况下,开辟人员完成了Qt的功用,该功用由产物中其他机制中存在的进击作为序言举行综合运用。 关于开辟人员,若是其运用框架来建立其他内容,请确保已相识了加载的选项和功用。 若是不如许做,可以或许会致使像这些示例如许的破绽状况,个中内置选项终究会致使不测效果。

论信息泄露在实际业务应用中的危害

上个月做了一次项目,是某系统的测试,简单做一次测试总结 首先拿到项目给的测试范围,几个域名打开发现都是需要登入的系统,首页只有一个登入框。 第一眼。没啥思路,有验证码burp爆破路子是行不通了。测试也不让用扫描器,于是上搜索引


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明QT破绽的细致引见:CVE-2019-1636与CVE-2019-6739
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址